troushoo

lsass.exe のダンプからユーザーパスワードを抽出 :mimikatz

概要

TechEd North America 2014 (= Microsoft のカンファレンス) のセッションで紹介されていた、lsass.exe のダンプからユーザーパスワードを抽出する方法を紹介します。

内容

WinDbg のデバッガーエクステンションのmimikatz を使用すると、lsass.exe のプロセスダンプから、ユーザーパスワードの抽出が可能になります。

[mimikatz のダウンロード方法]
mimikatz は、こちらよりダウンロードできます。(バイナリだけでなく、ソースコードも公開されています。)
mimikatz のダウンロード

ダウンロードしたファイルを解凍した中にある、mimilib.dll がWinDbg のデバッガーエクステンションです。
mimilib.dll がデバッガーエクステンション

[注意]
TechEd のセッションの中(43:18頃)で、ウイルス対策ソフトがmimikatz を検知する可能性があるが、使用可能である旨の発言が発表者よりありました。

[lsass.exe のダンプ作成方法]
1. タスクマネージャーを起動します。

2. “プロセス” のタブで”lsass.exe” を右クリックし、”ダンプ ファイルの作成” をクリックします。
lsass.exe を右クリックし、ダンプファイルの作成

3. ダンプが、C:\Users\<ユーザー名>\AppData\Local\Temp\lsass.DMP に作成された旨のダイアログが表示されます。
ダンプが、C:\Users\<ユーザー名>\AppData\Local\Temp\lsass.DMP に作成される

[mimikatz を利用した、パスワードの抽出方法]
1. WinDbg を起動します。

2. “File” → “Open Crash Dump” より、上記3で作成したダンプを開きます。
ダンプのオープン

3. “.symfix c:\symbols”、”.reload” を実行し、シンボルをロードします。
シンボルのロード

4. “.load <mimilib.dll へのパス>” を実行し、mimikatz をロードします。
mimikatz のロード

5. “!mimikatz” を実行します。
すると、パスワードが確認できます。
ここでは、”Demo” ユーザーのパスワードが”mypassword” であったことがわかります。
パスワードが確認できる




情報元
TWC: Recalling Windows Memories: Useful Guide to Retrieving and Analyzing Memory Content
  1. 2014/05/25(日) 21:38:39|
  2. WinDbg
  3. | トラックバック:0
  4. | コメント:0
<<メモリダンプから様々な情報を抽出するためのオープンソースのツール : volatility | ホーム | WPR/WPA を用いた、アプリのメモリリークの調査方法>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://troushoo.blog.fc2.com/tb.php/173-1a5cf96b
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (114)
ネットワーク (54)
Wireshark (48)
AD (36)
Linux (45)
WinDbg (46)
SOS・Psscor2/Psscor4 (25)
Visual Studio (56)
Tips (32)
コンテナ (4)
Azure (17)
.NET (24)
Python (9)
Java (5)
SQL (6)
事例 (1)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する